wolfrat android malware

WolfRAT Android Malware vizează WhatsApp și Facebook Messenger

Cercetătorii leagă apariția malware-ului de operatorii Wolf Research de „încredere ridicată” după ce a fost observat în campaniile care vizează utilizatorii thailandezi.

A fost descoperită o nouă familie de malware pentru Android, care vizează aplicații de mesagerie populare, cum ar fi WhatsApp și Facebook Messenger, pentru a aduna informații asupra victimelor Android.

Programul malware, supranumit WolfRAT, este în curs de dezvoltare activă și a fost identificat recent în campaniile care vizează utilizatorii thailandezi. Cercetătorii evaluează cu „mare încredere” că malware-ul este folosit de Wolf Research, o organizație de spionaj din Germania care dezvoltă și vinde malware bazat pe operațiuni de spionare către guverne.

„Detaliile din chat, înregistrările WhatsApp, mesagerii și SMS-urile poartă câteva informații sensibile, iar oamenii aleg să uite de acestea atunci când comunicările apar pe telefonul lor”, au declarat Warren Mercer, Paul Rascagneres și Vitor Ventura, cercetători la Cisco Talos, într-o analiză de marți. „Noi vedem că WolfRAT vizează în mod special o aplicație de chat criptată extrem de populară în Asia, Line, ceea ce sugerează că chiar și un utilizator atent care conștientizează pericolele chaturilor criptate end-to-end ar fi totuși la mila lui WolfRAT și ochilor săi rău-voitori.”

Warren Mercer, conducător tehnic la Cisco Talos, a declarat pentru Threatpost că crede că vectorul infecției a fost prin link-uri de phishing/smishing trimise către dispozitivele utilizatorilor. Cercetătorii au descoperit că domeniul serverului de comandă și control (C2) este localizat în Thailanda și conține referințe la mâncare thailandeze, oferind un indiciu despre ceea ce ar putea fi momeala.

Campania

Odată descărcat, WolfRAT se prezintă ca servicii legitime, precum aplicațiile Google Play sau actualizările Flash, folosind pictogramele și numele pachetelor. Acestea sunt în mod normal pachete funcționale, fără a fi nevoie de interacțiune cu utilizatorii, a spus Mercer. De exemplu, programul malware folosește un nume de pachet („com.google.services”) pentru a pretinde a fi o aplicație Google Play.

„Numele pare suficient de generic pentru a face ca un utilizator necunoscător în tehnologie să creadă că este legat de Google și este o parte necesară a sistemului de operare Android. Dacă utilizatorul apasă pe pictograma aplicației, va vedea doar informații generice ale aplicației Google, injectate de autorii malware-ului”, a declarat Mercer pentru Threatpost. „Aceasta are ca scop asigurarea că victima nu va dezinstala aplicația.”

După cercetările ulterioare despre WolfRAT în sine, cercetătorii au descoperit că RAT se bazează pe un malware scăpat anterior numit DenDroid. DenDroid a fost descoperit în 2014 și este un malware Android destul de simplu (nu profită de cadrul de accesibilitate pentru Android, de exemplu, așa cum fac multe familii moderne de malware Android). DenDroid conține comenzi bazate pe spionaj pentru realizarea de fotografii și videoclipuri, înregistrarea audio și încărcarea imaginilor.

Cercetătorii au identificat cel puțin patru versiuni majore ale WolfRAT, care reflectă faptul că se află în „dezvoltare intensă”. În ceea ce privește cronologia, cercetătorii au identificat probe care arată activitate din ianuarie 2019, cu toate acestea, unul dintre domeniile C2 a fost înregistrat în 2017 (ponethus[.]com), a declarat Mercer.

Aceste versiuni au dezvăluit mai multe funcții, inclusiv o caracteristică de înregistrare pe ecran. În timpul analizei lor din eșantioanele anterioare, cercetătorii au observat că funcția nu a fost niciodată apelată sau folosită de malware – cu toate acestea, în eșantioanele ulterioare, înregistrarea pe ecran este pornită atunci când RAT stabilește că WhatsApp funcționează.

Versiunile ulterioare ale programului malware prezintă, de asemenea, diferite permisiuni care solicită ACCESS_SUPERUSER (retras din uz începând cu Android 5.0) și privilegii DEVICE_ADMIN (retrase și ele în Android 10), care sunt ambele încercări de a accesa drepturi de acces privilegiate (adică permisiuni administrative) pe dispozitivul victimei. O altă permisiune adăugată, READ_FRAME_BUFFER, este „API-ul cel mai important folosit aici”, a declarat Mercer pentru Threatpost, deoarece poate fi folosit de o aplicație pentru a obține capturi de ecran ale dispozitivului curent (adică WhatsApp). Adăugând la această capacitate, versiunile ulterioare ale programului malware caută în mod activ activități de Facebook Messenger, WhatsApp și Line. Odată ce aceste aplicații sunt deschise, malware-ul preia capturi de ecran și le încarcă în C2.

Cercetătorii au remarcat că adăugarea și eliminarea constantă a pachetelor, împreună cu cantitatea uriașă de cod nefolosit și utilizarea tehnicilor vechi și depășite, „denotă o metodologie de dezvoltare amatoare”.

„Acest actor a arătat un nivel surprinzător de acțiuni de amator, incluzând suprascrieri de cod, copiere/lipire a proiectului de tip open source, clasele nefiind niciodată instanțate, pachete instabile și panouri care sunt deschise liber”, au spus aceștia.

Legăturile cu Wolf Research

Cercetătorii au legat campania cu Wolf Research după ce au identificat suprapunerile de infrastructură și referințele de string-uri folosite anterior de grup. Organizația pare să fie închisă, au spus cercetătorii, dar actorii amenințării sunt încă foarte activi. Cercetătorii consideră că operatorii săi continuă să lucreze sub pretextul unei noi organizații, numită LokD. Această nouă organizație a propus crearea unui telefon Android mai sigur, au spus cercetătorii. Pe baza site-ului web al organizației, acesta propune, de asemenea, servicii și au dezvoltat vulnerabilități zero-day pentru a testa propriile produse.

„Cu toate acestea, datorită schimbului de infrastructură și a numelor de panouri uitate, evaluăm cu mare încredere că acest actor este încă activ, încă dezvoltă malware și îl folosește de la mijlocul lunii iunie până astăzi”, au spus cercetătorii. „Pe panoul C2, am găsit o legătură potențială între Wolf Research și o altă organizație din Cipru numită Coralco Tech. Această organizație lucrează și la tehnologia de interceptare.”

Patrick
Acum 15 ani îmi căutam locul în lumea profesionala. Am căutat să îmi aleg un domeniu care să-mi placă, să mă caracterizeze și am început să tatonez mai multe terenuri, printre care și geografia turistică. În scurt timp am renunțat la studiul geografiei turistice din motive personale și familiale pentru un job în IT, care începea să devină la modă pe atunci. Astfel că am început lucrul la o companie de furnizare servicii de internet care a început în cartierul în care locuiam și în câțiva ani s-a extins. Pe atunci aveam un PC cu procesor AMD low-end (chiar și pentru vremea aceea) cu care am început să învăț software: programare, design grafic (începusem pasiunea pentru Adobe Photoshop cu care astazi am avansat la post-procesare fotografii și pictură digitală, ilustrație etc.), dintre care și web design, domeniu în care am început, pe atunci, destul de timid și cu multe greșeli. În timp, mi-am construit un portfoliu de lucrări, am câștigat câțiva clienți, iar apoi, după câțiva ani mi-a crescut reputația odată cu avansarea în tehnologie, pentru ca recent să-mi înființez Studiourile Cydrone, o companie-studio de creație digitală. Am trecut de la HTML4, XHTML, la HTML5 si CSS3, apoi la CMS web developing. Nu am ratat nici domeniul bloggingului și mi-am pornit primul meu blog pe blogspot.com, apoi am trecut la domeniu propriu. Astăzi scriu pe diverse platforme, în primul rând pe cea personala, pe care am transformat-o într-o academie online (Cydrone Archetypal Academy) în care abordez teme avansate precum matematica de modelare (vă aduceți aminte că am început cu programarea? Nu degeaba…), geometrie sacră, fractali, modele numerologice de succes, stil de viață sănătos și conștient, afaceri de succes, antreprenoriat, dezvoltare personala, educație financiară, iar în al doilea rând am fondat Revista România Culturală, o platforma online în care promovez cultura română din toate timpurile (căreia îi sunt pe vecie recunoscător). Alte platforme pe care mai scriu sunt androidinfo.ro (știri și recenzii în tehnologie mobile și nu numai), infotimes.ro (știri generale), dar și pe medium.com, linkedin.com etc.
%d blogeri au apreciat: